返回
网络安全等保三级培训材料

网络安全等保三级培训材料

ID:33318543

大小:311.13 KB

页数:16页

时间:2019-02-24

网络安全等保三级培训材料_第1页
网络安全等保三级培训材料_第2页
网络安全等保三级培训材料_第3页
网络安全等保三级培训材料_第4页
网络安全等保三级培训材料_第5页
资源描述:

《网络安全等保三级培训材料》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、.网络安全培训材料1、测试环境路由器、交换机、防火墙2、测试说明网络安全测评共有7步,分别是结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护,如下是步骤详解。3、测试步骤3.1三级等保要求3.1.1结构安全a)应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要。检查方法和判断标准:询问网络管理员,主要网络设备的性能及业务高峰期流量,性能指的是网络设备中的CPU、内存等资源的占用是否合理,是否具备冗余空间,一般来说CPU、内存占用率不超过30%,未发生业务高峰流量瓶颈事件,则符合。主要网络设备是指:核心交换机、汇聚层

2、交换机、核心到互联网出口的设备核心网络设备:核心交换机、互联网边界网络设备(看业务需求)b)应保证网络各个部分的带宽满足业务高峰期需要。检查方法和判断标准:...确认内部的网络带宽,一般是千兆以上,大网络可能是万兆,主要网络设备间可能是光纤万兆接口。外部出口带宽:无论出口带宽多少,建议保持在80%一下,或看实际业务需求对出口带宽做单独要求(如学校开学期间数据流陡增,日常出口流量建议在50%左右)。a)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径。检查方法和判断标准:主要查看网络设备中的路由控制是否建立了安全的访问路径,也就是说在网络设备中应配置路由

3、认证功能,则算符合;如果网络设备中未配置此功能,则不符合。或直接采用静态路由指向。...a)应绘制与当前运行情况相符的网络拓扑结构图。检测方法和判断标准:询问网络管理员,检查网络拓扑图,查看其与当前运行的网络情况是否一致。应绘制与当前运行情况相符合的网络拓扑结构图,当网络拓扑结构发生改变时,应及时更新,则算符合;其他一律不符合。b)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。检查方法和判断标准:应在主要网络设备上进行VLAN划分或者子网划分,不同VLAN内的报文在传输时是相

4、互隔离的。如果不同VLAN要进行通信,则需要通过路由器或者三层交换机等三层设备实现。网络设备上划分VLAN,并且为各子网分配了地址段,则算符合,如下图:...a)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段。检查方法和判断标准:检查网络拓扑图,查看是否将重要网段部署在网络边界处,重要网段和其他网段之间是否配置安全策略进行访问控制。如网络内部有对外的应用,是否单独划分DMZ区?DMZ区和网络设备交互之间是否有安全设备进行防护;是否在服务器区/数据存储区/数据库区到网络设备直接有安全隔离设备进行访问控制和安全防

5、护,建议做白名单的控制形式。b)应按照对业务服务的重要次序来指定带宽分配优先级,保证在网络发生拥堵的时候优先保护重要主机。检测方法和判断标准:1、出口部署有流控设备,做了流量控制的配置,如整体出口带宽有100M,单独划分10M给官方网站,防止因其他业务导致出口带宽占满官方网站无法对外提供服务。2、上网行为管理设备可以对内部的业务数据进行优先级排序,保证重要业务数据处理的优先级。如果上诉两种都没有,不符合,如有一种,部分符合,存在两种算符合(看具体应用,如无重要业务系统,存在一种也算符合)。3.1.2访问控制a)应在网络边界部署访问控制设备,启用访问控制功能。检测

6、方法和判断标准:...访问控制设备:汇聚、核心交换机、防火墙、堡垒机、VPN等在看各类设备上是否有访问控制功能,如做acl或黑、白名单的配置,如有,符合,如网络设备仅配置网络互通或未启用acl,安全设备对任意流量直接放行,不符合下图是交换机访问控制策略配置:表示192.168.30.0网段与192.168.20.0网段之间不能互相访问。a)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级。检测方法和判断标准:内部配置的访问控制列表应有明确的源/目的地址、源/目的、协议及服务等。如网络设备/安全设备控制列表有明确的拒绝/允许功能,算部分

7、符合,如控制粒度达到端口级,则算符合。下图表示交换机中配置基于端口级的访问控制策略。192.168.30.0网段内的主机均能访问192.168.10.100主机的80端口,其余网段均拒绝访问。...a)应对进出网络的信息内容进行过滤,实现对应用层HTTP,FTP,TELNET,SMTP,POP3等协议命令级的控制。检测方法和判断标准:1、对访问控制策略加上基于协议的过滤,在网络设备或安全设备上做;2、在安全设备上对基于协议的请求做不同类型的需求过滤,如http的post和get请求的区分对待,如在入侵检测设备进行配置。如满足1,算部分符合,如,满足1、2或2,算

8、符合。b)应在会话处于非

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。